REVERSING 시작하기 - 기초 개념2 :: 레지스터(Register)

 

레지스터(Register)

: CPU 가 요청을 처리하는 데 필요한 데이터를 일시적으로 저장하는 다목적 공간이다.

극히 소량의 데이터나 처리 중인 중간 결과를 일시적으로 기억해 두는 영역이다.

RAM 을 거치지 않으므로 속도가 빠르다. 만일 레지스터가 모자라면 Stack 을 사용한다. 

EAX > EDX > ECX > EBX 순으로 자주 사용한다

 

 

레지스터(32bit) 의 종류

 

 

1. 범용 레지스터 (EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBP 등)

: 범용적으로 사용되는 레지스터들.

  작은 데이터의 임시 저장 공간으로, 연산 처리 및 번지 지정을 도와준다.

  각 범용 레지스터들의 크기는 32 bit 이다.

  (참고: 각 레지스터 앞의 E 는 Extended 를 의미하고,

   32bit 환경이 되면서 16bit 레지스터인 AX, BX 등을 확장한 것이다.

   AX 도 8bit 두 개로 구성되는데, 왼쪽 8 bit 를 '상위(High)' 라고 AH, 오른쪽 8 bit 를 '하위(Low)'라고 AL 이라 한다.)

 

 

1) EAX (Extended Accumulator Register)

: 산술 계산 & 함수의 리턴값 저장

  (ex. 더하기, 빼기, return false)

 

2) EBX (Extended Base Register)

: 메모리 주소를 저장

  레지스터가 더 필요할 때 프로그래머나 컴파일러가 알아서 만들어 쓴다.

 

3) ECX (Extended Counter Register)

: 반복문에서 카운팅.

  ECX 에 양수값을 넣고, 감소시키며 카운터가 0이 될 때까지 반복문을 실행한다.

  카운팅할 필요가 없을 때는 변수로 사용한다. 

 

4) EDX (Extended Data Register)

: 각종 연산. EAX 와 리턴값 제외하고는 역할이 같다.

주로 더 큰 연산을 EAX 와 함께 사용된다.

 

이 네 가지는 주로 연산과 데이터에 사용된다.

 

 

ESI 와 EDI 는 데이터 복사, 각종 반복 데이터 처리 등에 사용한다.

5) ESI (Extended Sourse Index Register) : 시작지 인데스

6) EDI (Extended Destination Index Register) : 목적지 인덱스

 

 

ESP 와 EBP 는 Stack 을 관리하는 레지스터이다.

 

7) ESP (Extended Stack Point Register)

: 스택의 마지막 주소를 저장

  PUSH, POP 명령에 따라 ESP 값이 4 byte 씩 이동

 

8) EBP(Extended Base Point Register)

: 스택의 시작 주소를 저장

  스택프레임이 소멸되지 않는 이상 EBP 레지스터의 값은 변하지 않는다.

  현재의 스텍프레임이 소멸되면 이전에 사용했던 스택 프레임을 가리키게 된다.

 

ESI, EDI, ESP, EBP 는 주로 사용하는 주소를 저장한다.

 

 

* Stack Frame 스택 프레임

:  (ESP 가 아닌) EBP 레지스터를 사용하여 스택 내의 로컬 변수, 파라미터, 복귀 주소에 접근하는 기법

  즉, 각 함수가 사용하는 스택의 영역

 

 

실제 사용 시에는 EAX, ECX 는 위에 써진 기능을 수행하지만, 나머지 레지스터는 OS 가 지정해서 하므로 저 기능을 수행하지 않을 떄가 많다.

 

 

 

2. 세그먼트(Segment) 레지스터 (CS, SS, DS 등)

총 6개가 있고, 크기는 각각 16 bit 이다. 

메모리의 특정 영역을 가리키는 용도로 사용되는 레지스터이다.

메모리의 영역을 용도에 따라 세그먼트로 나누어서 사용하는 것이다.

 

페이징이 없던 시절, 메모리 영역 관리/분리 등을 위해서 사용되었고, 옛날 시스템과의 호환성을 위해 세그먼트 레지스터들은 그대로 16 bit 로 남아있게 되었다.

 

각 세그먼트 레지스터가 가리키는 세그먼트 디스크립터와 가상메모리가 조합되어 선형 주소가 되며, 페이징 기법에 의해 선형 주소가 최종적으로 물리 주소로 변환된다. (만약 OS 에서 페이징을 사용하지 않는다면 선형 주소를 그대로 물리 주소가 된다)

 

CS (Code Seagment)	프로그램의 코드 세그먼트의 시작 주소를 저장
SS (Stack Segment)	스택 시그먼트의 시작 주소를 저장
DS (Data Seagment)	데이터 영역의 시작 주소를 저장
ES (Extra Segment)	문자열 명령에서 목적지 연산자가 위치하는 세그먼트 주소
GS	기타 여분
FS	기타 여분

각 세그먼트 주소에 명령어 포인트 레지스터/스택 포인터(SP) 레지스터의 오프셋 값을 더하면, 실행하기 위해 메모리로부터 가져와야 할 명령어의 주소/참조하고 있는 스택의 현재 위치를 가리킨다.

일반적인 프로그래밍에서는 이 레지스터들을 직접 참조할 필요가 없다.

 

(16 bit 세그먼트 시스템에서는 좌측으로  4bit 시프트를 하고 오프셋 레지스터를 시프트한 세그먼트 레지스터와 합하여 위치를 정한다.)

 

 

 

3. 플래그 레지스터 (ZF, OF, SF, CF 등)

 

32bit EFlag 는 컴퓨터 행동(산술 연산 등)의 상태를 알려주는 플래그 비트를 저장한다.

실행 순서의 분기(조건문 등)을 정할 때 주로 사용된다.

 

연산의 결과에 따라 정해지는 상태 플래그와 프로세서의 동작 상태를 제어하는 제어 플래그로 나뉜다.

 

3.1 상태 플래그

ZF (Zero Flag)	비트 6	연산 결과가 0 이면 1로 세트, 아니면 0으로 리셋
OF (Overflow Flag)	비트 11	overflow/underflow 발생 시 1로 세트, 아니면 0으로 리셋
SF (Sign Flag)	비트 7	최상위 비트가 1일 때 1로 세트, 아니면 0으로 리셋
CF (Carry Flag)	비트 0	최상위 비트에 자리올림(CARRY) / 빌림(BORROW) 발생 시 1로 세트, 아니면 0으로 리셋
PF (Parity Flag)	비트 2	1로 된 비트의 수가 짝수개일 때 1로 세트, 홀수개일 때 0으로 리셋
AF (Auxilary Flag)	비트 4	하위 비트로부터 상위 비트로 자리올림/빌림이 발생한 경우 1로 세트, 아니면 0으로 리셋

CF, AF 는 작성된 사항 외의 경우에도 사용되기도 한다.

 

 

3.2 제어 플래그

DF (Direction Flag)	비트 10	문자열 처리의 방향을 제어. 0 이면 증가, 1이면 감소
IF (Interrupt enable Flag)	비트 9	외부 인터럽트 발생의 허용을 제어. 1이면 허용, 0이면 금지
TF (Trap enable Flag)	비트 8	내부 인터럽트 발생 제어. 1이면 하나의 명령어 끝날 때마다 발생 (= trace bit)

 

비트 위치를 정리하면 다음과 같다.

15	14	13	12	11	10	9	8	7	6	5	4	3	2	1	0
				OF	DF	IF	TF	SF	ZF		AF		PF		CF

(회색 칸은 의미 없음)

 

4. 인스트럭션 포인터 (IP) = PC (Program Counter)

16 bit 로, 실행코드의 어느 위치를 실행하는지에 대한 정보를 저장하는 레지스터이다.

즉, 다음에 실행될 명령어의 주소를 가지고 실행할 기계어 코드의 위치를 지정한다.

 

인텔의 x86 계열의 CPU 에서 IP 라고 한다.